Cum poate ajuta criptarea?

GDPR UE pune accentul pe protecția datelor cu caracter personal, încurajând protecția datelor „începând cu momentul conceperii și în mod implicit” (by design and by default). Acestea fiind spuse, cum anume să se implementeze metodele de securitate și protecția datelor este lăsat la latitudinea fiecărei organizații. Se așteaptă ca toate firmele să urmeze cele mai noi și mai bune metode. De exemplu, criptare și pseudonimizarea sunt listate ca metode bune pentru a asigura un nivel adecvat de protecție.

CRIPTAREA

Criptarea este o soluție comună atunci când vine vorba de securitatea datelor. Protejează informația de accesul nedorit, a prelucrării neautorizate și ilegale a datelor. Organizațiile care prelucrează foarte multe date cu caracter personal ar trebui să ia în considerare criptarea împreună cu alte măsuri, atât tehnice cât și organizaționale, luând în considerare atât beneficiile cât și riscurile oferite de această metodă. Există diverse situații când criptarea datelor este recomandată, situații care ar trebui evaluate cu atenție de către operatorii de date. De exemplu, e-mailurile nu necesită întotdeauna criptare. Cu toate acestea, dacă un e-mail conține date personale sensibile, criptarea este recomandată.

Criptarea reduce riscurile asociate cu prelucrarea datelor personale din moment ce datele nu vor fi disponibile fără cheia corectă. Mai mult, criptarea ajută în cazul unei breșe de securitate. GDPR spune că autoritățile trebuie anunțate cu privire la orice bresă de securitate în 72 de ore din momentul în care organizația a luat la cunoștiință de existența breșei. Persoanele afectate trebuie și ele anunțate. Însă, în cazul în care datele sunt criptate iar organizația poate demonstra că persoanele afectate nu pot fi identificate pornind de la datele furate, anunțarea acestora nu mai este obligatorie.

PSEUDONIMIZAREA ȘI TOKENIZAREA

Regulamentul definește pseudonimizarea ca „prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate.” Datele de identificare ar trebui ținute separat iar organizația trebuie să se asigure că nu poate fi făcută legătura cu o persoană fizică. Este interesant faptul că deși pseudonimizarea nu anonimizează datele, identificarea directă nu mai este posibilă. Riscurile asociate cu prelucrarea datelor sunt reduse, dar în același timp se menține utilitatea datelor. Un tip cunoscut de pseudonimizare sunt funcțiile hash, folosite pentru a mapa date de orice dimensiune către coduri de dimensiuni fixe.

O altă metodă sigură este tokenizarea. În cazul acest caz, datele sunt înlocuite cu jetoane generate aleatoriu înainte de a fi procesate. Datele originale și jetoanele corespunzătoare sunt stocate local și sunt controlate doar ce compania responsabilă pentru datele respective. Tokenizarea este uneori considerată mai eficientă decât criptarea dat fiind că nu există relații matematice care să ducă înapoi la datele originale. Se consideră că pentru fișiere și date nestructurate, criptare este de preferat, pe când în cazul datelor structurate cum ar fi bazele de date, tokenizarea este mai bună.